Cuando el principal del servicio de otorgamiento de tickets (TGS) sólo tiene una clave DES, la clave restringe el tipo de cifrado de la clave de sesión del ticket de otorgamiento de tickets (TGT) a DES. Cuando el KDC se actualiza a una versión que admite tipos de cifrado más seguros, debe sustituir la clave DES del principal TGS para que el principal pueda generar un cifrado más potente para todas las claves de sesión.
Puede sustituir la clave de forma remota o en el servidor maestro. Debe ser un principal admin que tenga asignado el privilegio changepw.
Para sustituir la clave del principal del servicio TGS desde cualquier sistema Kerberos, utilice el comando kadmin.
kdc1 % /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM Enter TGS key: xxxxxxxx Enter new TGS key:/** Type strong password **/ Re-enter TGS key to verify: xxxxxxxx
cpw es un alias para el comando change_password. La opción –randkey solicita la nueva contraseña.
Si ha iniciado sesión en el KDC maestro como root, puede utilizar el comando kadmin.local. Se le pedirá que introduzca la nueva contraseña de base de datos.
kdc1 # kadmin.local -q 'cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM'